Compartilhar via

Auditar e implantar logs de fluxo de rede virtual usando o Azure Policy

  • Artigo

O Azure Policy ajuda você a impor padrões organizacionais e a avaliar a conformidade em escala. Casos de uso comuns do Azure Policy incluem implementar a governança para consistência de recursos, conformidade regulatória, segurança, custo e gerenciamento. Para saber mais sobre o Azure Policy, consulte O que é Azure Policy? e Início Rápido: Criar uma atribuição de política para identificar recursos sem conformidade.

Neste artigo, você aprenderá a usar duas políticas internas para gerenciar a instalação de logs de fluxo de rede virtual. A primeira política sinaliza qualquer rede virtual que não tenha o log de fluxo habilitado. A segunda política implanta automaticamente os logs de fluxo de rede virtual em redes virtuais que não têm o log de fluxo habilitado.

Pré-requisitos

Auditar a configuração dos logs de fluxo para redes virtuais usando uma política interna

A política Auditar a configuração dos logs de fluxo para cada rede virtual audita todas as redes virtuais existentes em um escopo, verificando todos os objetos do Azure Resource Manager do tipo Microsoft.Network/virtualNetworks para logs de fluxo vinculados por meio da propriedade de log de fluxo da rede virtual. Em seguida, ela sinaliza qualquer rede virtual que não tenha o log de fluxo habilitado.

Para auditar os logs de fluxo usando a política interna, siga estas etapas:

  1. Entre no portal do Azure.

  2. Na caixa de pesquisa na parte superior do portal, insira política. Selecione Política nos resultados da pesquisa.

    Captura de tela que mostra como pesquisar o Azure Policy no portal do Azure.

  3. Selecione Atribuições, e, em seguida, selecione Atribuir política.

    Captura de tela que mostra como atribuir uma política no portal do Azure.

  4. Selecione as reticências (...) ao lado de Escopo para escolher a assinatura do Azure que tem as redes virtuais que você deseja verificar usando a política. Você também pode escolher o grupo de recursos que tem as redes virtuais. Depois de fazer suas seleções, escolha o botão Selecionar.

    Captura de tela que mostra como definir o escopo da política no portal do Azure.

  5. Selecione as reticências (...) ao lado de Definição de política para escolher a política integrada que você deseja atribuir. Insira o log de fluxo na caixa de pesquisa e selecione o filtro Interno. Nos resultados da pesquisa, selecione Auditar a configuração dos logs de fluxo para cada rede virtual e selecione Adicionar.

    Captura de tela que mostra como selecionar a política de auditoria no portal do Azure.

  6. Insira um nome em Nome da atribuição ou use o nome padrão e, em seguida, insira seu nome em Atribuído por.

    Esta política não requer qualquer parâmetro. Ela também não contém definições de função, então você não precisa criar atribuições de função para a identidade gerenciada na guia Correção.

  7. Selecione Examinar + Criar e, em seguida, selecione Criar.

    Captura de tela que mostra a guia Noções básicas da atribuição de uma política de auditoria no portal do Azure.

  8. Selecione Conformidade e altere o filtro Estado de conformidade para Sem conformidade para listar todas as políticas sem conformidade. Pesquise o nome da política de auditoria que você criou e selecione-o.

    Captura de tela que mostra a página Conformidade, que lista políticas sem conformidade, incluindo a política de auditoria.

  9. Na página de conformidade da política, altere o filtro Estado de conformidade para Sem conformidade para listar todas as redes virtuais sem conformidade. Neste exemplo, das quatro redes virtuais, há três sem conformidade.

    Captura de tela que mostra as redes virtuais sem conformidade com base na política de auditoria.

Implantar e configurar logs de fluxo de rede virtual usando uma política interna

A política Implantar um recurso de log de fluxo com a rede virtual de destino verifica todas as redes virtuais existentes em um escopo, verificando todos os objetos do Azure Resource Manager do tipo Microsoft.Network/virtualNetworks. Em seguida, ela verifica se existem logs de fluxo vinculados por meio da propriedade de log de fluxo da rede virtual. Se a propriedade não existir, a política implantará um log de fluxo.

Importante

Recomendamos desabilitar os logs de fluxo do grupo de segurança de rede antes de habilitar logs de fluxo de rede virtual nas mesmas cargas de trabalho subjacentes para evitar gravação de tráfego duplicado e custos adicionais. Por exemplo, se você habilitar logs de fluxo de grupo de segurança de rede no grupo de segurança de rede de uma sub-rede e, em seguida, habilitar logs de fluxo de rede virtual na mesma sub-rede ou rede virtual pai, poderá obter logs duplicados (logs de fluxo de grupo de segurança de rede e logs virtuais logs de fluxo de rede gerados para todas as cargas de trabalho suportadas nessa sub-rede específica).

Para atribuir a política deployIfNotExists, siga estas etapas:

  1. Entre no portal do Azure.

  2. Na caixa de pesquisa na parte superior do portal, insira política. Selecione Política nos resultados da pesquisa.

    Captura de tela que mostra como pesquisar o Azure Policy no portal do Azure.

  3. Selecione Atribuições, e, em seguida, selecione Atribuir política.

    Captura de tela que mostra como atribuir uma política no portal do Azure.

  4. Selecione as reticências (...) ao lado de Escopo para escolher a assinatura do Azure que tem as redes virtuais que você deseja verificar usando a política. Você também pode escolher o grupo de recursos que tem as redes virtuais. Depois de fazer suas seleções, escolha o botão Selecionar.

    Captura de tela que mostra como definir o escopo da política no portal do Azure.

  5. Selecione as reticências (...) ao lado de Definição de política para escolher a política integrada que você deseja atribuir. Insira o log de fluxo na caixa de pesquisa e selecione o filtro Interno. Nos resultados da pesquisa, selecione Implantar um recurso de log de fluxo com a rede virtual de destino e, em seguida, selecione Adicionar.

    Captura de tela que mostra como selecionar a política de implantação no portal do Azure.

    Observação

    Você precisa da permissão de Colaborador ou Proprietário para usar essa política.

  6. Insira um nome em Nome da atribuição ou use o nome padrão e, em seguida, insira seu nome em Atribuído por.

    Captura de tela que mostra a guia Noções básicas da atribuição de uma política de implantação no portal do Azure.

  7. Selecione o botão Avançar duas vezes ou selecione a guia Parâmetros. Em seguida, selecione os valores a seguir:

    Configuração Valor
    Efeito Selecione DeployIfNotExists para habilitar a execução da política. A outra opção disponível é: Desabilitar.
    Região da Rede Virtual Selecione a região da sua rede virtual que você está direcionando com a política.
    Conta de armazenamento Selecione a conta de armazenamento. A conta de armazenamento usada precisa estar na mesma região que a rede virtual.
    Observador de Rede RG Selecione o grupo de recursos da sua instância do Observador de Rede. Os registos de fluxo criados pela política são guardados nesse grupo de recursos.
    Observador de Rede Selecione a instância do Observador de Rede da região selecionada.
    Número de dias para reter fluxogramas Selecione o número de dias que pretende manter os dados dos registos de fluxo na conta de armazenamento. O valor padrão é 30 dias. Se você não quiser aplicar nenhuma política de retenção, insira 0.

    Captura de tela que mostra a guia Parâmetros da atribuição de uma política de implantação no portal do Azure.

  8. Selecione Próximo ou a guia Correção.

  9. Marque a caixa de seleção Criar uma tarefa de correção.

    Captura de tela que mostra a guia Correção da atribuição de uma política de implantação no portal do Azure.

  10. Selecione Examinar + Criar e, em seguida, selecione Criar.

  11. Selecione Conformidade e altere o filtro Estado de conformidade para Sem conformidade para listar todas as políticas sem conformidade. Pesquise o nome da política de implantação que você criou e selecione-o.

    Captura de tela que mostra a página Conformidade, que lista políticas sem conformidade, incluindo a política de implantação.

  12. Na página de conformidade da política, altere o filtro Estado de conformidade para Sem conformidade para listar todas as redes virtuais sem conformidade. Neste exemplo, das quatro redes virtuais, há três sem conformidade.

    Captura de tela que mostra as redes virtuais sem conformidade com base na política de implantação.

    Observação

    A política leva algum tempo para avaliar as redes virtuais no escopo especificado e implantar os logs de fluxo nas redes virtuais não compatíveis.

  13. Vá para Logs de fluxo em Logs no Observador de Rede para ver os logs de fluxo que foram implantados pela política.

    Captura de tela que mostra a lista de logs de fluxo no Observador de Rede.

  14. Na página de conformidade da política, verifique se todas as redes virtuais no escopo especificado estão em conformidade.

    Captura de tela que mostra que não há redes virtuais incompatíveis depois que a política de implantação implantou logs de fluxo no escopo definido.

    Observação

    Pode levar até 24 horas para atualizar o status de conformidade do recurso na página de conformidade do Azure Policy. Para obter mais informações, consulte Noções básicas sobre os resultados da avaliação.

Conteúdo relacionado